ハードウェア

スマホの通信を乗っ取って自動車を解錠してエンジンをかける脆弱性が発覚、GMはすでに対処済みを発表


自動車に搭載されている車載インターネット接続システム「Uconnect」の脆弱性が原因で車両を乗っ取られるおそれが強いとしてクライスラーが140万台規模のリコールを実施することが発表されて話題となりましたが、同様のシステムを搭載するゼネラルモーターズ(GM)の車両でもスマートフォンの通信を傍受することで車両のコントロールを乗っ取ることができる脆弱性が存在していることがハッカーの調査によって明らかになりました。

OwnStar - hacking cars with OnStar to locate, unlock and remote start vehicles - YouTube


この脆弱性を指摘したのは、セキュリティ関連の調査を行うハッカーのSamy Kamkar氏。手にしている黒いボックスの装置を使うことで、車載情報システム「オンスター(OnStar)」を搭載したGM車の制御を実際に乗っ取る様子を紹介しています。


Kamkar氏が手にしていた黒いボックスは「オウンスター(OwnStar)」と名付けられたもので、内部にはスマートフォンの通信を傍受するアンテナやArduinoなどの装置が収められています。Kamkar氏はこのオウンスターを自作しており、わずか100ドル(約1万2000円)程度で自作できるものとのこと。


車載システム「オンスター」は、スマートフォンのアプリとサーバ、そして車両に搭載されたコンピューターが連携して動作するシステムで、ドアをロックしたり、車両の状態や位置情報の把握、そしてエンジンの始動などを可能にするシステムです。対してKamkar氏の「オウンスター」はアプリが通信の際に発する電波を傍受し、解析することで車両のコントロールを奪うばかりか、ユーザーの氏名やクレジットカード情報などの個人情報を入手することも可能にしてしまうというツールになっているのです。


画面のように、ドアの解錠と施錠やエンジン始動、クラクションを鳴らすなどのコントロールが可能です。


オウンスターは内蔵されたWi-Fiアンテナを使って簡易Wi-Fiスポットとして動作し、スマートフォンと接続することでその通信内容を抜き取ります。


実際に車両を操作しているシーンが少しだけムービーに収められています。このように、ドアの鍵が「ガチャッ」と開けられ……


当たり前のようにドアを開けることができました。


さらに、画面の「Remote Start」をタップすると、エンジンがかかってしまいました。あとは実際に乗り込んで運転を開始すれば、そのまま車ごとオサラバ、というわけです。


実際にこの仕組みを悪用するためには、スマートフォンやオウンスターの他に車両の鍵そのものが近くにあることが大前提となっているため、オウンスターだけが手元にあれば誰でも自動車を盗めるというわけではありません。とはいえ、本来備わっているべきセキュリティが比較的簡単に破られるということはシステムの安定性を大きく損なうものなので、重大な問題として捉えられるべきといえます。

Kamkar氏はこの問題について詳細を明らかにはしていませんが、2015年8月6日から開催されるハッカーの祭典「DEF CON 23」の会場で発表を行う予定とのこと。

DEF CON® 23 Hacking Conference


また、Kamkar氏はすでにGMに対してこの問題を通知しており、連絡を受けたGMはサーバのアップデートをその日のうちに実施済みとのこと。脆弱性の原因はサーバ側に存在していたため、車両をリコールしてソフトウェアを更新するなどの作業は必要ないとされています。

Kamkar氏は今回の問題を発表する理由について、「確かに僕はゲームのグランド・セフト・オートをよくプレイしているけど、今回のモチベーションになったのは自動車を盗みたいという気持ちではありません。僕の目的はセキュリティ面の不備を指摘し、『スマートなんとか』でくくられるデバイスを用いる際にはもっと多くの注意を払うべきだということを知らせたいということです」と語っています。

スマートフォンなどのデバイスであらゆることが可能になり、「モノのインターネット(IoT)」で全ての機器がつながる社会には多くのメリットが期待されることも事実ですが、一方ではこのような問題が避けられないことも事実といえます。Kamkar氏はDef Conのプレゼン内容を紹介するコメントで、自動車レース「インディ500」の名セリフをもじり、「Ladies and gentlemen, start your engines. And other people's engines(レディース アンド ジェントルメン、スタート・ユア・エンジンズ!そして他人のエンジンも)」というフレーズを書き込んでいるのですが、まさに横たわる問題の重大性を示しているようです。

この記事のタイトルとURLをコピーする

・関連記事
遠隔操作で走行中のジープのエアコンを止めたりエンジンを切ったりする実験ムービー - GIGAZINE

航空会社へのサイバー攻撃により欠航が続出する事態が発生 - GIGAZINE

世界最大のハッキングイベント「DEFCON」のドキュメンタリー映像がYouTubeで公開中 - GIGAZINE

メールアカウントから機密を盗んで株取引を有利に行うハッカー集団の手口とは? - GIGAZINE

「人生一度。不倫をしましょう」の不倫・浮気サイトがハッキングされ個人情報3700万人分がダダ漏れに - GIGAZINE

ネットの夜明けから現代まで、「インターネットセキュリティ」の歴史を分かりやすく解説するとこうなる - GIGAZINE

誰でもハッカーになれる「Hacker Typer」でハッカー気分を味わってみた - GIGAZINE

・関連コンテンツ

in モバイル,   ソフトウェア,   ハードウェア,   乗り物,   動画, Posted by darkhorse_log

You can read the machine translated English article here.